De al te gebruikelijke praktijk om dezelfde combinatie van e-mailadres en wachtwoord te gebruiken om in te loggen op meerdere websites kan schadelijk zijn, vooral voor werkgevers met veel gebruikers en waardevolle activa beschermd door wachtwoorden, zoals universiteiten.

"Als iemand zijn of haar universitaire e-mailadres en wachtwoordzin gebruikt om zich aan te melden, zeggen, LinkedIn, en LinkedIn wordt geschonden door cybercriminelen, dat zou betekenen dat hun universitaire wachtwoord voor iedereen op internet staat, " zei Dan Calarco van Indiana University, co-auteur van een nieuw artikel dat de praktijk van hergebruik van wachtwoorden onderzoekt.

Maar onderzoekers van IU hebben een eenvoudige manier ontdekt om criminelen te verijdelen die willen inbreken in universiteitsgegevens.

"We ontdekten dat het vereisen van langere en ingewikkeldere wachtwoorden resulteerde in een kleinere kans op hergebruik van wachtwoorden. " schrijven de auteurs in de krant, Factoren die van invloed zijn op het hergebruik van wachtwoorden:een casestudy . De auteurs zijn Jacob Abbott, een IU Bloomington Ph.D. student; Daniël Calarco, stafchef van het IU-bureau van de vice-president voor IT en CIO; en L. Jean Camp, een professor aan de IU Bloomington School of Informatics, Informatica en techniek. De groep presenteerde hun bevindingen op 21 september op de TPRC46:Research Conference on Communications, Informatie- en internetbeleid in Washington, gelijkstroom

Om de impact van beleid op hergebruik van wachtwoorden te onderzoeken, de studie analyseerde wachtwoordbeleid van 22 verschillende Amerikaanse universiteiten, inclusief hun thuisinstelling, IE. Volgende, ze haalden sets e-mails en wachtwoorden uit twee grote datasets die online werden gepubliceerd en meer dan 1,3 miljard e-mailadressen en wachtwoordcombinaties bevatten. Op basis van e-mailadressen die behoren tot het domein van een universiteit, wachtwoorden werden samengesteld en vergeleken met het officiële wachtwoordbeleid van een universiteit.

De bevindingen waren duidelijk:strenge wachtwoordregels verlagen het risico van een universiteit op inbreuken op persoonsgegevens aanzienlijk.

"Ons artikel laat zien dat vereisten voor een wachtwoordzin, zoals een minimale lengte van 15 tekens, de overgrote meerderheid van IU-gebruikers (99,98 procent) ervan weerhoudt wachtwoorden of wachtwoordzinnen op andere sites te hergebruiken. ", schrijven ze. "Andere universiteiten met minder wachtwoordvereisten hadden een hergebruikpercentage van mogelijk wel 40 procent." Uit hun analyse bleek dat IU het beste presteerde van alle 22 universiteiten - en de meest uitgebreide vereisten hadden. De auteurs konden niet legaal testen of referenties echt geldig waren; in plaats daarvan onderzochten ze of wachtwoorden mogelijk geldig waren gezien openbare wachtwoordvereisten zoals wachtwoordlengte, complexiteit en andere vereisten.

"IU heeft samengewerkt met de faculteit voor beveiliging en bruikbaarheid om ons wachtwoordbeleid te ontwerpen, met als resultaat beleid dat de tijd van mensen waardeert en risico's beperkt, Camp zei. "De lengte en complexiteit worden gecompenseerd door de langere periode voordat nieuwe wachtwoorden moeten worden gegenereerd en het gebruik van een langer authenticatietijdvenster voor applicaties. De uitrol van tweefactorauthenticatie door Indiana University is een vergelijkbaar model."

De auteurs doen de volgende aanbevelingen om wachtwoorden te beveiligen:

1. Verhoog de minimale wachtwoordlengte tot meer dan 8 tekens.
2. Verhoog de maximale wachtwoordlengte.
3. Sta de gebruikersnaam of gebruikersnaam in wachtwoorden niet toe.
4. Overweeg multi-factor authenticatie.

Multi-factor authenticatie wordt steeds gebruikelijker en bruikbaarder. IE, bijvoorbeeld, maakt gebruik van Two-Step Login. Met de potentiële voordelen van het verminderen van het risico op hergebruik van wachtwoorden, multi-factor authenticatie kan een haalbaar alternatief zijn voor het wijzigen van de lengte en/of complexiteit van wachtwoordbeleid.

"Onze aanbevelingen gelden niet alleen voor universiteiten, maar kan ook door andere organisaties worden gebruikt, diensten of toepassingen, " zij schrijven.